FireEye
FireEye 用の IBM QRadar DSM は、ログ・イベント拡張フォーマット (LEEF) および共通イベント・フォーマット (CEF) の syslog イベントを受け入れます。
この DSM は、FireEye CMS、MPS、EX、AX、NX、FX、および HX の各アプライアンスに適用されます。 QRadar は、FireEye アプライアンスから送信されたすべての関連通知アラートを記録します。
以下の表は、FireEye DSM の仕様を示しています。
| 仕様 | 値 |
|---|---|
| 製造元 | FireEye |
| DSM 名 | FireEye MPS |
| サポートされるバージョン | CMS、MPS、EX、AX、NX、FX、および HX |
| RPM ファイル名 | DS M-FireEyeMPS-QRadar_バージョン-ビルド番号. noarch.rpm |
| プロトコル | Syslog および TLS Syslog |
| イベント・フォーマット | 共通イベント・フォーマット (CEF)。 CEF:0 がサポートされます。 |
| QRadar 記録されたイベント・タイプ | すべての関連イベント |
| 自動的に検出? | はい |
| ID を含む? | いいえ |
| 詳細情報 | FireEye Web サイト (www.fireeye.com) |
FireEye を QRadarに統合するには、以下の手順を実行します。
- 自動アップデートが有効になっていない場合は、IBM® サポート Web サイトから DSM Common および FireEye MPS RPM をダウンロードし、QRadar コンソールにインストールします。
- 最新の TLS Syslog プロトコル RPM をダウンロードして QRadarにインストールします。
- デプロイメント内の FireEye のインスタンスごとに、イベントを QRadarに転送するように FireEye システムを構成します。
- FireEye,の各インスタンスについて、FireEyeログ・ソースをQRadarコンソールに作成する。 以下の表では、Syslog および TLS Syslog のログ・ソースを FireEye 用に構成する方法について説明します。
表 2. FireEye 用の Syslog ログ・ソース・プロトコルの構成 パラメーター 説明 ログ・ソース・タイプ FireEye プロトコル構成 syslog ログ・ソース ID デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 TLS Syslog プロトコル固有の追加のパラメーターとその構成については、 ログ・ソースの追加 を参照して、Syslog で発生する一般的なパラメーターと TLS Syslog プロトコルの構成オプション を確認してください。表 3. FireEye 用の TLS Syslog ログ・ソース・プロトコルの構成 パラメーター 説明 ログ・ソース・タイプ FireEye プロトコル構成 TLS Syslog ログ・ソース ID デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。 TLS listen ポート デフォルトの TLS listen ポートは 6514 です。 認証モード TLS 接続が認証されるモード。 「TLS およびクライアント認証 (TLS and Client Authentication)」オプションを選択した場合は、証明書パラメーターを構成する必要があります。 証明書タイプ 認証に使用する証明書のタイプ。 「証明書の提供 (Provide Certificate)」オプションを選択した場合は、サーバー証明書および秘密鍵のファイル・パスを構成する必要があります。 提供されているサーバー証明書のパス (Provided Server Certificate Path) サーバー証明書の絶対パス。 提供されている秘密鍵のパス (Provided Private Key Path) 秘密鍵の絶対パス。 注: 対応する秘密鍵は DER エンコードの PKCS8 鍵でなければなりません。 他の鍵形式の場合は、構成に失敗します。最大接続数 「最大接続数 (Maximum Connections)」パラメーターは、各イベント・コレクターについて TLS Syslog プロトコルが許容できる同時接続の数を制御します。
各イベント・コレクターについて、すべての TLS Syslog ログ・ソース構成での接続制限は 1000 接続です。 各デバイス接続のデフォルトは 50 です。
注: 同じイベント・コレクターで同じポートを使用する場合など、リスナーを別のログ・ソースと共有するログ・ソースが自動的に検出された場合は、制限に対して 1 回だけカウントされます。